Yeni araştırmalara göre, ilk yıllarında uygulamaların üçte biri (%32) güvenlik açıkları taşıyor ve beş yaşına gelindiğinde bu sayı üçte ikinin (%70) üzerine çıkıyor.
Veracode’un yeni bir raporuna göre işletmelerin ileride ciddi sorun çıkma olasılığını en aza indirmek için kusurları erkenden, sık sık ve çeşitli şekillerde taraması gerekiyor.
Şirket, ticari yazılım tedarikçileri, yazılım taşeronları ve açık kaynak projelerinde bir milyondan fazla uygulamanın dörtte üçünden fazlasını analiz etti ve kusurların ilk kez ortaya çıkmasından sonra uygulamaların genellikle bir istikrar “balayı dönemine” girdiğini tespit etti – neredeyse %80 ilk bir buçuk yıl yeni kusurlar getirmeyin.
Maliyetli hatalar
Bundan sonra, bazı geliştiriciler yeniden özensizleşmeye başlar ve koda getirilen yeni kusurların sayısı beş yıl sonra kabaca %35’e çıkar.
Veracode, güvenlik kusurlarını erken ele almayı göz ardı etmenin ileride büyük maliyetlere yol açabileceğini söylüyor ve ortalama bir veri ihlalinin şu anda 4,35 milyon dolara mal olduğunu iddia eden son raporlara atıfta bulunuyor.
Bunun yerine, geliştiriciler, geliştirici eğitimi ve birden çok tarama türünün kullanımı (API aracılığıyla tarama dahil) dahil olmak üzere, kusur giriş olasılığını azaltmak için bir dizi şey yapmalıdır.
Şirket, tarama sıklığının da önemli bir faktör olduğunu ekledi. Ayrıca, teknik ve güvenlik borcunu olabildiğince erken ve hızlı bir şekilde ele almalı, otomasyon ve geliştirici güvenlik eğitimine öncelik vermeli ve değişiklik yönetimi, kaynak tahsisi ve kurumsal kontrolleri içeren bir uygulama yaşam döngüsü yönetimi protokolü oluşturmalıdırlar.
“Ulusal Güvenlik Açığı Veritabanının ötesinde, kusurlar için birden fazla kaynaktan yararlanan bir yazılım kompozisyon analizi (SCA) çözümü kullanmak, bir güvenlik açığı ortaya çıktığında ekiplere önceden uyarı verecek ve güvenlik önlemlerini daha hızlı bir şekilde, umarım istismar başlamadan önce uygulamalarını sağlayacaktır” dedi. Veracode Baş Araştırma Görevlisi Chris Eng.
“Güvenlik açığı tespiti ve yönetimi etrafında kurumsal politikalar belirlemek ve üçüncü taraf bağımlılıklarını azaltmanın yollarını düşünmek de önerilir.”